LINUX.ORG.RU
ФорумAdmin

Оплатил настройку шлюза centos 7 инет + локаль + Wi-Fi

 , , ,


1

2

Приветствую.

Я готов заплатить 2000 руб тому, кто решит мою проблему. Сбер-задрал, яндекс-бабло, на мобилу. Я хочу научится и понять, что делаю не так, а не просто сделать.

Мне нужно настроить Centos 7, чтобы по внешнему enp7s0 приходил инет и раздавался на внутренним enp6s0 и enp5s0, а так же по Wi-Fi. При этом у меня на 80, 8080, 443 висят веб-сайты, почта и прочие погремухи. И настроен fail2ban. Есть разные инструкции, где просто обнуляют iptables -F. Но у меня там целая коллекция заблокированных IP, которые пытались подобрать пароль. Поэтому я боюсь просто обнулять iptables. Сейчас инет не работает даже с выключенным iptables и firewalld.

Что вам нужно знать о конфигурации, чтобы решить проблему?

==================

Nick: samson помог решить проблему, пусть не полностью, но большей частью.

Мне нужно, чтобы мне доверяли, поэтому вот чек на оплату. http://i89.fastpic.ru/big/2017/0923/35/acff8485b3c349b5a071380d10d4ee35.jpg



Последнее исправление: Asur (всего исправлений: 2)

1 2
Ответ на: комментарий от samson 
-bash-4.2# systemctl restart iptables
-bash-4.2# systemctl status iptables
● iptables.service - IPv4 firewall with iptables
   Loaded: loaded (/usr/lib/systemd/system/iptables.service; enabled; vendor preset: disabled)
   Active: active (exited) since Ср 2017-09-20 20:15:16 MSK; 6s ago
  Process: 20637 ExecStop=/usr/libexec/iptables/iptables.init stop (code=exited, status=0/SUCCESS)
  Process: 2334 ExecStart=/usr/libexec/iptables/iptables.init start (code=exited, status=0/SUCCESS)
 Main PID: 2334 (code=exited, status=0/SUCCESS)

сен 20 20:15:16 domain.ru systemd[1]: Starting IPv4 firewall with iptables...
сен 20 20:15:16 domain.ru iptables.init[2334]: iptables: Applying firewall rules: [  OK  ]
сен 20 20:15:16 domain.ru systemd[1]: Started IPv4 firewall with iptables.
-bash-4.2# ^C
Asur
() автор топика

вам нужен сквид + прозрачные редиректы на сквид over iptables с ваших локальных интерфейсов.

etwrq ★★★★★
()
Ответ на: комментарий от samson

фильтрация, контроль трафика.
а так да, директом тоже можно

etwrq ★★★★★
()
Ответ на: комментарий от anc

Все прямо на хосте? Никаких контейнеров, виртуалок, пробросов на другое железо?

iptables-save

«Поздравляю шарик...» голой попой в инет.

Серверный дистр со свежим и стабильным софтом вполне подойдет без наворотов для такого сервера (например Gentoo), если конечно не включать/выключать лишнего.

И потом, контейнеры, виртуалки, проброс - это тоже сервер. Другое дело, если там разные задачи, приложения, то конечно - виртуалки. Лучше всего на базе qemu KVM

anonymous
()
Ответ на: комментарий от anonymous 
-bash-4.2# cat /etc/resolv.conf
# Generated by NetworkManager
search domain.ru
nameserver 8.8.8.8
nameserver 8.8.8.4
nameserver 192.168.1.37
-bash-4.2# ping ya.ru
ping: ya.ru: Имя или служба не известны
-bash-4.2#

dns снова отвалился, хотя в resolv.conf прописан

Asur
() автор топика
Ответ на: комментарий от Asur

что делать? ping опять отвалился.

Asur
() автор топика
Ответ на: комментарий от Asur

NetworkManager (если используется - больше ориентирован для desktop-окружений, в gentoo можно поставить как дополнительную опцию) - были такие фокусы с ноутом на убунте, возможно NetworkManager косячит.

Проверяй по порядку пинги, сеть, резольвинг, днс, маршруты, правила ... + логи, отладочные сообщения, сниф.

Экспериментировать лучше на виртуалках конечно или параллельно стэнд поднять.

anonymous
()
Ответ на: комментарий от Asur

У меня для вас плохие новости, почтарь с такой реверсной записью host103-8-dynamic.20-79-r.retail.telecomitalia.it. будет «не очень хорошо» работать

anc ★★★★★
()
Ответ на: комментарий от anonymous

Серверный дистр со свежим и стабильным софтом вполне подойдет без наворотов для такого сервера

И да и нет, понимаю что сейчас притяну за уши но все-таки такой сценарий возможен, установили дистр выпустили в инет, но вот в самом дистре например был не обновленный демон Д, пока обновляем до актуального состояния может и прилететь.

И потом, контейнеры, виртуалки, проброс - это тоже сервер. Другое дело, если там разные задачи, приложения, то конечно - виртуалки.

Я написал именно о такой ситуации, ТС заявил что у него «все яйца в одну корзину сложены».

anc ★★★★★
()
Ответ на: комментарий от Asur

Нескромный вопрос, если это роутер то почему взяли такой адрес 192.168.1.37?

dhcp выбрал. какой был, такой и записал.

Т.е. у вас роутер получает ip с какого-то dhcp из внутренней сети? «Чем дальше в лес тем толще партизаны».

anc ★★★★★
()
Ответ на: комментарий от anc

ахахаха. нет.

нет. изначально все адреса были динамические случайные. а в тот день, когда я сделал их статическими, они на всегда остались такими.

Asur
() автор топика
Ответ на: комментарий от anc 
DEVICE=enp6s0
NAME=enp6s0
BOOTPROTO=static
IPADDR=192.168.1.37
NETMASK=255.255.255.0
NETWORK=192.158.1.0
ONBOOT=yes
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
DEVICE=enp7s0
NAME=enp7s0
BOOTPROTO=static
IPADDR=79.20.8.103
NETMASK=255.255.128.0
NTEWORK=79.20.0.0
GATEWAY=79.20.126.254
ONBOOT=yes
MACADDR=BC:EE:7B:59:00:86
TYPE=Ethernet
PROXY_METHOD=none
BROWSER_ONLY=no
PREFIX=17
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
DNS1=8.8.8.8
DNS2=8.8.8.4
Asur
() автор топика
Ответ на: комментарий от Asur 
-bash-4.2# ip r
default via 79.20.26.254 dev enp7s0 proto static metric 100
79.20.0.0/17 dev enp7s0 proto kernel scope link src 79.20.8.103
79.20.0.0/17 dev enp7s0 proto kernel scope link src 79.20.8.103 metric 100
169.254.0.0/16 dev enp6s0 scope link metric 1003
169.254.0.0/16 dev enp7s0 scope link metric 1004
192.168.1.0/24 dev enp6s0 proto kernel scope link src 192.168.1.37
-bash-4.2# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN qlen 1
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
2: enp5s0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether 00:0a:cd:29:18:63 brd ff:ff:ff:ff:ff:ff
3: enp6s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:0a:cd:29:18:64 brd ff:ff:ff:ff:ff:ff
    inet 192.168.1.37/24 brd 192.168.1.255 scope global enp6s0
       valid_lft forever preferred_lft forever
4: enp7s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether bc:ee:7b:59:00:86 brd ff:ff:ff:ff:ff:ff
    inet 79.20.8.103/17 brd 79.20.127.255 scope global enp7s0
       valid_lft forever preferred_lft forever
5: wlp0s26u1u2: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc mq state DOWN qlen 1000
    link/ether 74:da:da:83:7d:a0 brd ff:ff:ff:ff:ff:ff
-bash-4.2# ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8) 56(84) bytes of data.
^C
--- 8.8.8.8 ping statistics ---
2 packets transmitted, 0 received, 100% packet loss, time 999ms

-bash-4.2#
Asur
() автор топика
Ответ на: комментарий от Asur

DNS2=8.8.8.4

что это за чушь (IP, да и конфиг собственно)?

Адреса должны быть валидны - как минимум.

Невалидность в принципе можно обнаружить сниффером. Сеть в целом можно проверить с live cd еще.

anonymous
()
Ответ на: комментарий от Asur

нет. изначально все адреса были динамические случайные.

Нет это что?!? У роутера был динамический адрес для локалки?

а в тот день, когда я сделал их статическими, они на всегда остались такими.

Сделали как? Можно чутка подробностей? Вырубили в локалке dhcpd ?
ЗЫ

IPADDR=192.168.1.37
NETMASK=255.255.255.0
NETWORK=192.158.1.0
Красиво, чего еще сказать. Жгите дальше.

anc ★★★★★
()
Ответ на: комментарий от Asur

Просто для интереса:
Кто провайдер у вас?
И в каком городе? если не секрет.

anc ★★★★★
()
Ответ на: комментарий от anc

ну, в коробочке есть список подключенных хостов, которым присвоены произвольные номера. там кнопка «зарегистрировать». при нажатии предлагают выбрать адрес, под которым этот хост всё время будет отображаться. в тот день был 192.168.1.37. с тех пор, он всегда 192.168.1.37.

У меня на 192.168.1.37 зарегистрированы все порты и правила. Проще сохранить 37, чем менять их всех.

Кроме того, если сервер сделать 192.168.1.1, то он будут возникать конфликты с коробочками, которые по-умолчанию 192.168.1.1. Пусть уж коробочки будут 192.168.1.1

netbynet Шамбала(Москва)

Asur
() автор топика
Ответ на: комментарий от anc

у неё подсеть итальянская. специальное предложение чтобы торенты качать без запретов роскомназдора. я договорился с админом и теперь сидя у себя качаю как из Италии. вообще-то у многих провайдеров есть специальные предложения для хороших людей. все эти прокси страшно съедают скоростью.

Asur
() автор топика
Ответ на: комментарий от Asur

мы тут подправили конфиги. но ping-и всё равно падают. после reboot какое-то время всё нормально ping-ует, а потом по-новой.

у меня ошибка была. все интерфейсы были DEFROUTE=yes

мост подняли для двух портов и wi-fi. 

-bash-4.2# cat /etc/sysconfig/network-scripts/ifcfg-br0
DEVICE=br0
NAME=br0
TYPE=Bridge
BOOTPROTO=static
IPADDR=192.168.1.37
NETMASK=255.255.255.0
NETWORK=192.168.1.0
ONBOOT=yes
PREFIX=24
DEFROUTE=no
NM_CONTROLLED=no
#IPV4_FAILURE_FATAL=no
#IPV6INIT=no
#IPV6_AUTOCONF=no
-bash-4.2#


-bash-4.2# cat /etc/sysconfig/network-scripts/ifcfg-enp5s0
DEVICE=enp5s0
NAME=enp5s0
BOOTPROTO=static
IPADDR=79.20.8.103
NETMASK=255.255.128.0
NTEWORK=79.20.0.0
GATEWAY=79.20.26.254
ONBOOT=yes
MACADDR=BC:EE:7B:00:59:86
TYPE=Ethernet
PREFIX=17
DEFROUTE=yes
DNS1=8.8.8.8
DNS2=8.8.4.4
UUID=75faabc3-f62c-9770-bfe5-9996ddb77891
NM_CONTROLLED=no
#IPV4_FAILURE_FATAL=no
#IPV6INIT=no
#PROXY_METHOD=none
#BROWSER_ONLY=no
-bash-4.2#

-bash-4.2# cat /etc/sysconfig/network-scripts/ifcfg-enp6s0
DEVICE=enp6s0
NAME=enp6s0
BOOTPROTO=none
NM_CONTROLLED=no
TYPE=Ethernet
MTU=1500
ONBOOT=yes
BRIDGE=br0
DEFROUTE=no
NM_CONTROLLED=no-bash-4.2#
-bash-4.2# cat /etc/sysconfig/network-scripts/ifcfg-enp7s0
DEVICE=enp7s0
NAME=enp7s0
BOOTPROTO=none
NM_CONTROLLED=no
TYPE=Ethernet
MTU=1500
ONBOOT=yes
BRIDGE=br0
DEFROUTE=no
NM_CONTROLLED=no
MACADDR=00:0A:CD:29:18:63-bash-4.2#
Asur
() автор топика
Ответ на: комментарий от Asur

мы тут подправили конфиги.

Мы царь?
«Слыш король» (с), у тебя там еще немного ошибок в синтаксисе.

Я за бан!

anc ★★★★★
()
Ответ на: комментарий от anc 
-bash-4.2# cat /etc/sysconfig/dhcpd
DHCPDARGS=enp6s0

есть ли смысл dns:53 принимать по tcp и udp?

-bash-4.2# iptables-save
# Generated by iptables-save v1.4.21 on Fri Sep 22 00:13:54 2017
*filter
:INPUT DROP [9706:896643]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5896:1642741]
:f2b-sshd - [0:0]
:fail2ban-MAIL - [0:0]
:fail2ban-WEB - [0:0]
:cpanel - [0:0]
-A INPUT -p tcp -m multiport --dports 22 -j f2b-sshd
-A INPUT -p tcp -m multiport --dports 80,443 -j fail2ban-WEB
-A INPUT -p tcp -m multiport --dports 25,465,587,110,995,143,993 -j fail2ban-MAIL
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 8083 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 25,465,587 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 110,995,953 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 143,993 -j ACCEPT
-A INPUT -p tcp -m multiport --dports 3306,5432 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i enp6s0 -p tcp -m tcp --sport 68 --dport 67 -j ACCEPT
-A INPUT -i enp6s0 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A FORWARD -j ACCEPT
-A f2b-sshd -s 85.174.234.221/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 85.159.0.235/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 80.87.205.6/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 58.242.83.20/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 5.188.10.176/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 218.200.16.12/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 185.22.184.11/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 163.172.192.139/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -s 121.140.130.67/32 -j REJECT --reject-with icmp-port-unreachable
-A f2b-sshd -j RETURN
-A fail2ban-MAIL -s 185.130.5.102/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 185.130.5.101/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -s 185.130.5.100/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-MAIL -j RETURN
-A fail2ban-WEB -s 187.78.124.206/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -s 62.76.204.1/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -s 78.163.50.71/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -s 92.49.213.41/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -s 91.185.91.122/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -s 31.148.219.50/32 -j REJECT --reject-with icmp-port-unreachable
-A fail2ban-WEB -j RETURN
COMMIT
# Completed on Fri Sep 22 00:13:54 2017
# Generated by iptables-save v1.4.21 on Fri Sep 22 00:13:54 2017
*nat
:PREROUTING ACCEPT [30565:2762448]
:INPUT ACCEPT [152:7900]
:OUTPUT ACCEPT [267:30661]
:POSTROUTING ACCEPT [160:22928]
-A POSTROUTING -o enp5s0 -j MASQUERADE
COMMIT
# Completed on Fri Sep 22 00:13:54 2017
-bash-4.2#

-bash-4.2# cat /etc/sysconfig/network
# Created by anaconda
NETWORKING_IPV6=no
IPV6INIT=no
NETWORKING=yes
HOSTNAME=b2011115
DOMAINNAME=telecomitalia.it
NOZEROCONF=yes

-bash-4.2# cat /etc/dhcp/dhcpd.conf
authoritative;

subnet 192.168.1.0 netmask 255.255.255.0{
   interface br0;
   range 192.168.1.100 192.168.1.200;
   option routers 192.168.1.37;
   option broadcast-address 192.168.1.255;
   option domain-name "telecomitalia.it";
   option domain-name-servers 88.59.65.19, 88.51.201.2;
   default-lease-time 600;
   max-lease-time 7200;
}
host PK1    {
        hardware ethernet 00:0A:CD:29:17:8D;
        fixed-address 192.168.1.33;
}
host NOTE1
{
        hardware ethernet 00:14:0B:3C:B9:00;
        fixed-address 192.168.1.35;
}
-bash-4.2#

-bash-4.2# cat /etc/resolv.conf
# Generated by NetworkManager
search telecomitalia.it
nameserver 88.59.65.19
nameserver 88.51.201.2
-bash-4.2# ^C

-bash-4.2# cat /etc/sysctl.conf
# System default settings live in /usr/lib/sysctl.d/00-system.conf.
# To override those settings, enter new settings here, or in an /etc/sysctl.d/<name>.conf file
#
# For more information, see sysctl.conf(5) and sysctl.d(5).

#net.ipv4.icmp_echo_ignore_broadcasts = 1
#net.ipv4.tcp_syncookies = 1
#net.ipv4.conf.all.accept_redirects = 0
#net.ipv4.conf.default.accept_redirects = 0
#net.ipv4.tcp_timestamps = 0
#net.ipv4.ip_default_ttl = 128
#net.ipv4.icmp_ratelimit = 70
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv4.ip_forward = 1
Asur
() автор топика
Ответ на: комментарий от Asur

вот, так пирожки.

ifdown и ifup помогли запустить ping

-bash-4.2# ping telecomitalia.it
ping: telecomitalia.it: Имя или служба не известны
-bash-4.2# cat /etc/resolv.conf
# Generated by NetworkManager
search telecomitalia.it
nameserver 88.59.65.19
nameserver 88.51.201.2

-bash-4.2# ip ro
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.37

-bash-4.2# ifdown enp5s0

-bash-4.2# ip a
2: enp5s0: <BROADCAST,MULTICAST> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000
    link/ether bc:ee:7b:00:59:86 brd ff:ff:ff:ff:ff:ff

-bash-4.2# ifup enp5s0

-bash-4.2# ip a
2: enp5s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether bc:ee:7b:00:59:86 brd ff:ff:ff:ff:ff:ff
    inet 79.20.8.103/17 brd 79.20.127.255 scope global enp5s0
       valid_lft forever preferred_lft forever

-bash-4.2# ip ro
default via 79.20.26.254 dev enp5s0
79.20.0.0/17 dev enp5s0 proto kernel scope link src 79.20.8.103
192.168.1.0/24 dev br0 proto kernel scope link src 192.168.1.37

-bash-4.2# ping telecomitalia.it
PING telecomitalia.it (156.54.82.96) 56(84) bytes of data.
64 bytes from 156.54.82.96 (156.54.82.96): icmp_seq=1 ttl=113 time=67.1 ms
64 bytes from 156.54.82.96 (156.54.82.96): icmp_seq=2 ttl=113 time=66.5 ms
64 bytes from 156.54.82.96 (156.54.82.96): icmp_seq=3 ttl=113 time=66.5 ms
64 bytes from 156.54.82.96 (156.54.82.96): icmp_seq=4 ttl=113 time=66.6 ms
^C
--- telecomitalia.it ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3004ms
rtt min/avg/max/mdev = 66.519/66.719/67.154/0.312 ms

-bash-4.2# yum install traceroute
Загружены модули: fastestmirror, priorities, protectbase
Loading mirror speeds from cached hostfile
 * base: mirror.corbina.net
 * epel: ftp.icm.edu.pl
 * extras: mirror.corbina.net
 * nux-dextop: mirror.li.nux.ro
 * remi: mirror.netsite.dk
 * remi-safe: mirror.netsite.dk
 * updates: mirror.corbina.net
3906 packages excluded due to repository priority protections
5 packages excluded due to repository protections
Asur
() автор топика
30 мая 2018 г.
Ответ на: комментарий от samson

Добрый день. Хотел бы попросить посмотреть на мою проблему с настройкой сети. По сути похожая ситуация с данной темой. Если можете ознакомьтесь и отпишитесь. Вот ссылка «Destination Host Unreachable» and ssh " No route to host"

SysError
()
Ответ на: комментарий от SysError

Схожего тут мало, но ознакомились и отписалить!)

samson ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
1 2
Admin